Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Programe malware UNC3886 Grupul de spionaj cibernetic

UNC3886 Grupul de spionaj cibernetic

Până în Mezo în Programe malware, Ușile din spate
Tradu in:
Română

Entitatea de spionaj cibernetic UNC3886, legată de China, a vizat în mod activ routerele MX scoase din uz pentru a implementa uși din spate personalizate. Această campanie subliniază capacitatea lor de a se infiltra în infrastructura internă de rețea, utilizând backdoors cu capabilități atât active, cât și pasive. Unele variante conțin chiar și scripturi încorporate concepute pentru a dezactiva mecanismele de înregistrare, permițând atacatorilor să opereze nedetectați.

Un grup de amenințare în evoluție

UNC3886 are o istorie în utilizarea vulnerabilităților zero-day în dispozitivele Fortinet, Ivanti și VMware pentru a încălca rețelele și pentru a stabili persistența pe termen lung. Această ultimă operațiune reprezintă o evoluție a tehnicilor lor, concentrându-se pe hardware-ul de rețea, căruia îi lipsește adesea monitorizarea securității.

De la prima activitate documentată în septembrie 2022, UNC3886 a demonstrat o competență ridicată în vizarea dispozitivelor de vârf și a tehnologiilor de virtualizare, vizând sectoarele de apărare, tehnologie și telecomunicații din SUA și Asia.

De ce dispozitive de rutare?

Adversarii conduși de spionaj s-au îndreptat recent spre dispozitivele de rutare compromițătoare. Obținând controlul asupra infrastructurii esențiale, atacatorii pot menține acces prelungit, având și potențialul de a desfășura activități perturbatoare în viitor.

Conexiunea TinyShell: O armă a alegerii

Cea mai recentă activitate, detectată la jumătatea anului 2024, implică implanturi bazate pe TinyShell, o ușă ușoară bazată pe C, favorizată de grupurile de hacking chineze, cum ar fi Liminal Panda și Velvet Ant. Natura open-source a TinyShell îl face o alegere practică, oferind ușurință de personalizare în timp ce complică atribuirea.

Cercetătorii de securitate au identificat șase uși din spate distincte bazate pe TinyShell, fiecare cu propriile sale funcționalități:

  • appid (A Poorly Plagiarized Implant Daemon) – Oferă transfer de fișiere, shell interactiv, proxy SOCKS și modificări de configurare C2.
  • to (TooObvious) – Similar cu appid, dar cu servere C2 codificate diferite.
  • irad (Internet Remote Access Daemon) – Acționează ca o ușă pasivă din spate folosind sniffing de pachete prin pachete ICMP.
  • lmpad (Local Memory Patching Attack Daemon) – Utilizează injecția de proces pentru a evita înregistrarea.
  • jdosd (Junos Denial of Service Daemon) – O ușă din spate UDP cu capabilități de shell la distanță.
  • oemd (Obscure Enigmatic Malware Daemon) – O ușă pasivă care utilizează TCP pentru a comunica cu serverele C2.

Ocolind protecțiile de securitate Junos OS

Atacatorii au dezvoltat metode de a executa malware, în ciuda protecțiilor Verified Exec (veriexec) ale sistemului de operare Junos, care sunt concepute pentru a preveni executarea neautorizată a codului. Obținând acces privilegiat prin intermediul unui server terminal, aceștia injectează încărcături utile rău intenționate în procesele legitime, asigurând persistența în timp ce eludează detectarea.

Mai multe instrumente în Arsenalul de atac

Pe lângă ușile din spate TinyShell, UNC3886 implementează instrumente suplimentare:

  • Reptile & Medusa – Rootkits pentru persistență ascunsă.
  • PITHOOK – Folosit pentru a deturna autentificarea SSH și a capta acreditările.
  • GHOSTTOWN – Conceput pentru scopuri anti- criminalistice.

Organizațiile care folosesc dispozitive Juniper sunt sfătuite să le actualizeze la cele mai recente versiuni de firmware pentru a atenua aceste amenințări.

Un alt atac, un alt actor de amenințare?

Interesant este că o campanie separată, numită J-Magic, a vizat routerele Juniper de nivel enterprise, folosind o variantă backdoor cunoscută sub numele de cd00r. Cu toate acestea, această activitate este atribuită unui alt grup legat de China, UNC4841, fără legături cunoscute cu direcționarea UNC3886 a routerelor Juniper aflate la sfârșitul vieții.

Exploatarea CVE-2025-21590 pentru Persistență

Juniper Networks a confirmat că infecțiile recente au exploatat cel puțin o vulnerabilitate – CVE-2025-21590 (scor CVSS v4: 6,7). Acest defect, găsit în kernel-ul Junos OS, permite atacatorilor cu privilegii înalte să injecteze cod arbitrar, compromițând în cele din urmă integritatea dispozitivului.

Patch-urile au fost lansate în versiunile Junos OS 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R1-S2, și 24.2R2. Organizațiile trebuie să se asigure că rulează aceste versiuni actualizate.

UNC3886: Maeștri ai stării și persistenței

Expertiza UNC3886 în sistemele interne avansate este evidentă în utilizarea strategică a ușilor din spate pasive, manipularea jurnalelor și evaziunea criminalistică. Scopul său principal rămâne persistența pe termen lung, minimizând în același timp riscurile de detectare, ceea ce reprezintă o provocare continuă și semnificativă de securitate cibernetică.

 

Trending

Cele mai văzute

Se încarcă...